Le estensioni (o add-on) permettono di aggiungere funzionalità ai browser, ma alcune possono eseguire attività pericolose, come la raccolta di password, cookie e dati di pagamento. In alcuni casi vengono distribuite tramite gli store ufficiali, quindi l’utente crede che siano legittime. I ricercatori di Kaspersky hanno pubblicato un report che mostra la diffusione delle estensioni fasulle, descrivendo quattro famiglie di add-on installati da milioni di utenti.
Attenzione alle estensioni
Dall’inizio del 2020 al primo trimestre 2022, Kaspersky ha rilevato oltre 6 milioni di malware e adware nascosti nelle estensioni. I download hanno superato 1,3 milioni solo nel primo trimestre 2022, ovvero il 70% dei download dell’intero 2021. La maggioranza degli add-on (4,3 milioni di download) è stata sfruttata per distribuire adware. Durante la navigazione vengono mostrate inserzioni pubblicitarie basate sulla cronologia. Altre estensioni sono malware che rubano credenziali di login, cookie e dati delle carte di credito.
Le quattro famiglie di estensioni più diffuse nel primo trimestre 2020 sono WebSearch, DealPly, AddScript e FB Stealer. WebSearch è un adware che imita tool di gestione dei documenti, come il convertitore da DOC a PDF. Quando installato, l’add-on cambia la pagina di avvio del browser e il motore di ricerca predefinito. Lo scopo dell’autore è guadagnare dai link affiliati mostrati nella pagina di avvio e nei risultati delle ricerche. L’estensione per Chrome è stata eliminata dal Web Store.
Anche DealPly è un adware con funzionalità simili a quelle di WebSearch. Non viene distribuita tramite Chrome Web Store, ma è nascosta in software pirata. Questo add-on è persistente. Aggiunge chiavi nel registro di Windows che permettono il download e l’installazione automatica, se l’utente rimuove l’estensione dal browser.
AddScript offre alcune utili funzionalità, come il download dei video dai social media, ma scarica anche codice JavaScript che consente all’autore di incassare le commissioni tramite i cookie affiliati salvati nel browser senza l’interazione dell’utente.
Infine, FB Stealer è una delle estensioni più pericolose. Viene installata dal malware NullMixer (nascosto negli installer di software pirata) e imita il funzionamento di Google Traduttore. L’add-on consente all’autore di estrarre i cookie di Facebook dal browser, effettuare l’accesso all’account e chiedere denaro alla vittima.